Java IT-Sicherheit

String-Vergleich gegen Timing-Angriffe härten

Der String-Vergleich über die Methode String#equals in Java ist anfällig für Timing-Angriffe. Der oft empfohlene Lösungsansatz ist schwierig korrekt zu implementieren. Aber selbst eine korrekte Implementierung kann bei der Ausführung noch für Timing-Angriffe anfällig sein. Die hier vorgestellte Methode schließt diese Probleme prinzipiell aus.

Timing-Angriffe (siehe Kasten „Timing-Angriffe“) beim String-Vergleich werden oft an Passwörtern illustriert. Ein übermitteltes Passwort muss mit einem gespeicherten verglichen werden. Da Passwörter in der Regel außerordentlich gut geschützt werden, sind sie eher nicht für Timing-Angriffe anfällig (siehe Kasten „Passwörter und Timing-Angriffe“). Ein realistischeres Szenario wird im Folgenden vorgestellt.

Timing-Angriffe

Timing-Angriffe gehören zur Klasse der Seitenkanalangriffe. Seitenkanalangrif…

Nächster Artikel

IT Spektrum

JavaSPEKTRUM

BI-SPEKTRUM

German Testing Magazin

Unsere Interviews

Unsere Artikelreihen

String-Vergleich gegen Timing-Angriffe härten

Kostenfreien Account erstellen oder einloggen.

Tools und Praktiken für datengetriebenes Software-Engineering